当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153906

漏洞标题:大麦网多个箱弱口令\涉及运营敏感数据

相关厂商:大麦网

漏洞作者: 土夫子

提交时间:2015-11-18 14:20

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-18: 细节已通知厂商并且等待厂商处理中
2015-11-20: 厂商已经确认,细节仅向厂商公开
2015-11-30: 细节向核心白帽子及相关领域专家公开
2015-12-10: 细节向普通白帽子公开
2015-12-20: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

恭祝乌云升级完毕,土夫子发来贺电

详细说明:

邮箱弱口令引起的运营数据泄露
一、邮箱弱口令
常用姓名500爆破出两枚邮箱弱口令
http://mail.damai.cn
login: lipeng password: 123456
login: chenjie2 password: 1234qwer

QQ截图20151111174646.jpg


二、通过获取邮箱内容,成功登录运营系统,并可查看合作商家信息、大麦网流水,大麦网流水,大麦网流水,重要的事情说三遍。票务行业真心赚钱

QQ截图20151111174741.jpg


QQ截图20151111174757.jpg


登录系统后对某接口进行抓包、遍历

QQ截图20151116175635.jpg


漏洞证明:

如上

修复方案:

你们专业

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-11-20 12:04

厂商回复:

感谢白帽子反馈,相关同事已跟进处理!

最新状态:

暂无